『詐欺メール』『【JAネットバンク】お取引目的等のご確認のお願い』と、来た件

★フィッシング詐欺解体新書★

スマホやタブレットが普及し増々便利になる私たちが生活する世の中。
それに比例して増えてくるのが悪質な詐欺行為。
このブログエントリーは、フィッシング詐欺メールの注意喚起拡散を目的とし
悪意を持ったメールを発見次第できる限り迅速なご紹介を心掛けています。
もし気が付かずに詐欺サイトログインしてしまった場合は、まず落ち着いてできる限り早く
パスワードの変更やクレジットカードの利用停止を行ってください。

金融機関からの『取引目的等の確認』に注意

いつもご覧くださりありがとうございます！

詐欺メールのネタで多く見られるのが『取引目的等の確認』ってヤツ。
これは最近政府から、特殊詐欺やテロ資金供与防止などの犯罪防止の一助として、口座利用目的やお客さま情報を確認することを目的に呼び掛けているため、各金融機関が顧客に対しこれらの通知を行っています。
目ざとい詐欺師たちは、これを格好のネタにして偽サイトへ誘い込んで、ログイン情報や口座情報、クレジットカードの情報等を盗み出そうとしてきます。

今回ご紹介するのもそのようなメールで、今回はJAネットバンクに成りすましています。

件名：[spam] 【JAネットバンク】お取引目的等のご確認のお願い
送信者：自動配信メール <info-jabanknahesan6589@airmat.co.jp>

平素よりＪＡネットバンクをご愛顧いただき、誠にありがとうございます。

ＪＡネットバンクでは、関係省庁と連携し、預金口座を悪用した特殊詐欺被害等の防止、マネー・ローンダリング及びテロ資金供与・拡散金融対策（※）の強化を通じ、
お客さまが安心・安全にお取引いただけるよう環境整備に取り組んでおります。

この取り組みの一環として、犯罪収益移転防止法および金融庁のマネーロンダリング・テロ資金供与対策ガイドラインに基づき、既に当社と取引のあるお客さまに対して
、以下のサービスを実施いたします。1月より2025年：当社は、取引目的等の確認へのご協力をお願いするメールを定期的に送信し、お客様の現在の情報（住所、職業、取引目的等）を確認させていただきます。

つきましては、ＪＡネットバンクから「お取引目的等の確認に関するご協力のお願い」を受領されたお客さまには、本取り組みへご理解を賜り、ご協力いただきますようお願い申し上げます。

※なお、確認させていただく時期はお客さまごとに異なります。
※2025年01月21日までに「お取引目的等の確認」より、お取引の目的等のご確認をお願いいたします。

▼お取引目的等の確認
h**ps://kempkept.com/ictoriou.html

※確認が完了しますと、通常どおりログイン後のお手続きが可能になります。
※指定時間内に確認が取れない場合は、アカウントの取引を制限させていただきます。

お客さまにはお手数をおかけしますが、何卒ご理解・ご協力のほどよろしくお願いいたします。
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
ご不明な点がございましたら、下記までご連絡ください。
連絡先 0120━058━098
これからもＪＡバンクをよろしくお願いします。

この件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに『迷惑メール』フォルダーに勝手に保存されるような仕組みもあります。

送信者として記載されているメールアドレスのドメイン(@より後ろ)は”airmat.co.jp”
ここは送信者がいくらでもウソを書くことができる部分で絶対鵜呑みにしてはいけません。
このドメインは、エアマットのレンタルや販売、メンテナンスを行う『ジャパンエアマット』と言う企業のドメインで、当然偽装。
そんな企業がJAネットバンクのメールを代筆するはずありませんもんね！

では、送信者の素性が分かるメールヘッダーの『Receivedフィールド』から情報を探ってみます。
こちらがこのメールのReceivedフィールドがこちらです。

Received: from mail0.rmmmws.com (unknown [202.212.72.140])

ほらやっぱりここには『airmat.co.jp』とは異なる『rmmmws.com』なんて別のドメインが記載されています。
まあ間違いないと思いますが、一応ドメイン”airmat.co.jp”を割当てているIPアドレスと比較してみましょう。
こちらが『aWebAnalysis』さんで取得した”airmat.co.jp”を割当てているIPアドレスです。

全然違いますよね、この結果からこの送信者が使ったとされる”airmat.co.jp”を使ったメールアドレスは偽装であることが断定できます。

では更に”rmmmws.com”ってドメインについて『Grupo』さんにて詳しく調査してみましょう。

このドメインは、中国広西チワン族自治区の方が申請取得されています。
そして割当てているIPアドレスは、Receivedフィールドのものと完全合致したので、この送信者の本当のメールアドレスはこの”rmmmws.com”と言うドメインが使われていことが判明しました。

このReceivedフィールドの末尾にあるIPアドレスからメールの発信地を導き出してみると、東京都千代田区神田付近であることが分かりました。

リンク先は既に処置済み

さて、本文に直書きされている詐欺サイトへのリンクですが偽装されていて、クリックすると直ぐにリダイレクト(自動転送)されて別のサイトに接続されるよう仕組まれており、そのURLは以下の通りです。
【h**ps://ayhyjt.com/ja/#/select】
(直リンク防止のため一部の文字を変更してあります)

先程と同様に『aWebAnalysis』さんでこのドメインを割当てているIPアドレスを取得してみます。

このIPアドレスからそのロケーション地域を調べると、ロサンゼルス付近であることが分かりました。

リンクを辿ってみると、まずはウイルスバスターにブロックされました。
解除して進むと今度はChromeがブロックしてきましたので相当危険なサイトのようです。
これも解除して更に先に進むと、最終的にはこのようなページが開きました。

『Warning Tip』と書いてあるので何かの警告でしょうか？
その下には『404』と記載があるので『404 Not Found』エラーのこと。
これは読んで字の如く、ページが存在しないことを示すエラー。
恐らくこのサイトを設置したホスティングサービスが、危険を察知してページに接続できないよう予防措置を施したものと思われます。
これでひとまず安心ですね！

まとめ

恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんの
フィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;